リスクマネジメントの専門知識・事例を学ぶ

プロローグ
「情報セキュリティ」に対する注目度が、昨今とみに上昇している。
あるいは、「個人情報保護」に対する注目度が上昇している（しかし既に沈静化の兆候も見えるか）、とも言える。
これは、マスメディアにおける個人情報漏洩系事件に関するニュースの取り扱い頻度、セキュリティベンダーやセキュリティコンサルタントなどによるセミナー開催頻度、書店における個人情報保護法対策に関する書籍の陳列量などから、容易に想定できる。
本稿では、「なぜ今、これほどに個人情報保護が注目されるのか？」という観点から、情報セキュリティ対策の課題について考察する。

本年4月の個人情報保護法施行に前後して、個人情報漏洩事件が『顕在化』している。近いところでは、米国のクレジットカードシステム運用会社における情報漏洩が大きなインパクトを与えた。過去にはソフトバンクBBやジャパネットたかたの事例などが、テレビでも度々報道された。

ここで、なぜ今、個人情報漏洩事件が『顕在化』したのか、その理由を考察する。

結論から述べると、論理の逆転に違和感をおぼえる購読者もいるかもしれないが、「個人情報保護法の施行」が個人情報漏洩事件の『顕在化』の起因となったと考えられる。個人情報保護法は、個人の権益を保護するために、行政や企業等による個人情報の取り扱いについて規制するものだが、この法令の制定が結果的に、個人情報の事件性を向上していると思われるのである。

個人情報に関わる事件は、何も今になって始まったことではない。私自身、「個人情報保護法」が遡上に上る随分前に、どこから伝え聞いたのか引っ越しを検討していることを悪徳業者がリークし、異なる業者から脅迫紛いのマンション勧誘電話を立て続けに何度も受けたことがある。確かに一度に何万件という個人情報漏洩の規模自身は、高度情報化社会ならではのものだが、個人情報漏洩事件自体は、それ以前から相応の規模感で一般化したものであると考えるのが正当であろう。

つまり、個人情報漏洩に起因する事件は、あくまで潜在していたものが、「個人情報保護法」が施行された今になって『顕在化』しているのである。

では、「個人情報保護法」を起点とした『顕在化』とは何か。

第一は、企業による『顕在化』である。
昨年『顕在化』した “ジャパネットたかた”の顧客情報漏洩事件について考えてみる。
この情報漏洩が発生したのは何年も前の話である。発見が遅れたということもあろうが、今更にプレス発表を行い、敢えてそれを『顕在化』させたのは、現状の「個人情報保護」への市場の過剰反応に対するクライシスコミュニケーションとしての意味合いが強いと推察される。「個人情報保護法の施行」によって世間の耳目を浴びる状況下でなければ、社長自ら記者会見というオプションは取られなかったであろう。これは、法令の趣旨に沿ったもので、「個人情報保護法」の施行によって個人情報の取り扱いと関連事件に対する企業の行動が変化し、事件が『顕在化』する方向性を示している。

第二は、個人情報の不正利用に関する事件のスクープ性の変化による『顕在化』である。
個人情報に関連する事件は、前述のように、「個人情報保護法」が施行される以前から、そしてその法令制定の主根拠としている高度情報通信社会（≒インターネット社会）とは無関係なアナログな世界（名簿売買など）で一般化していたが、大々的に事件として取り扱われることは稀であった。なぜなら、一般大衆がアンダーグラウンドで多少の被害に遭っていたとしても、事件としてのインパクトに欠け、注目を浴びることもないので、取り上げる意味合いが薄いとの判断があったと思われる。
それが、法令施行に前後して恣意的にスクープ性を帯びるようになり、降って沸いたように報道が過熱することとなる。
つまり、法令の意図とは別に、その施行によって個人情報関連事件に対するマスメディアの対応が変化し、事件が『顕在化』しているといえる。

第三は、市場関係者による『顕在化』、つまりはビジネスチャンスとしての「個人情報保護法」である。
セキュリティ対策投資は、基本的に負のカテゴリとして、多くの企業のトップ層から敬遠される傾向にある。つまり、“セキュリティ投資をしても、利益は向上しない”という考え方である。
この考え方の是非は次回以降に述べるとして、ここでは、そのような市場環境下での、市場関係者の「個人情報保護法」に関する捉え方に着目する。

ご興味のある方は、単純に「個人情報保護法」というキーワードでWebサイトを検索してみていただきたい。
その結果リストされるのは、セキュリティベンダーやセキュリティコンサルティング会社などによる個人情報保護法対策に関するPRサイトばかりである。以前は“個人情報保護法”というキーワードで簡単に首相官邸のサイトがリストされ、法令の制定意図や条文確認ができたが、今では省庁がわざわざSEOなどをかけることもなく、市場関係企業のサイトに埋もれてしまっている。

もうお分かりかと思われるが、「個人情報保護法」という法令規制が、本来の目的（個人の権益保護）とは別に、市場関係者にとって恰好のExcuseとなっているのである。
前述のように、従来セキュリティ対策投資に対して、多くの企業のトップ層はなかなか“Yes”と言わなかったが、法令遵守という意味合いが加われば、それも変わってくる。
そもそも市場関係者にとっては、「個人情報保護法対応」というトピックはプレゼンテーションがしやすい。なぜなら、“個人情報保護対策をしなければ、法令違反として処罰されます”というプレゼンテーションだけで、顧客に課題を提供し、対策ソリューションのプロモーションに展開できるからである。

「個人情報保護法対策」などと銘打った各種セミナーの乱発がその証左と言える。
また、この点では、弁護士も同様にビジネスチャンスと捉えているようである。一般的な企業コンプライアンスにおいては、商法・独禁法・特許法を始め多様な法制が絡み、また、昨今では大規模な訴訟リスクも含むため、各エリアのスペシャリストを総花的に擁して弁護団を形成することができる大手事務所が基本的に有利となる。
しかし、「個人情報保護法」対応であれば、スコープが限定的で対応しやすいため、中小事務所でも対応可能であり、また、内容はシンプルながら法令が未成熟で省庁のガイドラインによって補完される状況下にあることが、法律の専門家たる弁護士へのニーズとなるため、裾野が広がりやすい。

このような関係から、セキュリティコンサルタントや弁護士などから、「個人情報保護法対策」などと題した書籍が書店において氾濫するに至っている。

現状の「個人情報保護」に関する市場環境はつまり、マスメディア、市場関係者によるプロパガンダに踊らされていると言えないだろうか。
著者は実際に、戦略コンサルタントとして様々な顧客とお付き合いする中で、そのような事例を多く経験している。
例えば、明らかにバランスの悪い「個人情報保護法対応」への極端な偏重である。顧客のセキュリティ脆弱性について調査をすると、その他セキュリティ全般の対策は課題だらけにも拘わらず、個人情報保護マニュアルなどだけは突出して万全に整備されているというケースが散見される。しかもそれらのケースでは、調査を進めると明らかに、「個人情報保護法対応」が第一優先で対策されるべきエリアではないことが判明する。さらに極端なところでは、未成熟なセキュリティ環境の上で、「個人情報保護法」対応という名目でプライバシーマークだけが先行的に認証取得され、セキュリティ感性の低い社員の運用によって、実情は形骸化しているというケースも多く目に付く。
このような場合、大概は「個人情報保護法」が自社にどのような影響を与えるかについての入念な思考プロセスが欠けており、“なぜ個人情報保護法対策なのか？“という問いを繰り返すと、最後は顧客側で答えに詰まってしまうことになる。
つまり、上記のような事例は、企業における経営戦略に影響を与える投資の一環として、「個人情報保護法対応」をどのようなポジションで捉え、どのような優先順位で実装していくかについての思考プロセスが、ユーザー側において決定的に欠落しているのである。
もう、個人情報保護法対策に関する課題は何か、ご理解いただけたであろう。
まず、マスメディアによる「個人情報」漏洩事件に関する取り扱いの変化、さらにセキュリティ市場関係者（ベンダー・コンサルタント・弁護士など）による攻勢によって、「個人情報保護法対応」を中心としたプロパガンダが形成される。
それに対して、「個人情報保護法」対策を実装するユーザーにおいて、一つの投資領域として、そのポジションや優先順位、規模などについて突き詰めるという思考プロセスが欠落していることが相乗作用し、市場の過剰反応となって現れているのである。
そして、このような〔マスメディア・市場関係者によるプロパガンダ×ユーザーにおける思考プロセスの欠如〕という課題は、「個人情報保護法対応」に限ったことではない。
『セキュリティ対策』全般において言えることなのである。意味不明なファイアウォールの構築やルーティング、無闇な暗号化システムやバイオメトリクス認証システムの導入など、事例は枚挙の暇がない。
そのような実物の実例だけでなく、セキュリティポリシーを見るだけでも、思考プロセスの欠如は容易に推測できる。具体的には、思考プロセスの欠如がセキュリティポリシー上で、明らかに借り物の表記や、各条文間のロジックエラーなどに現れるからである。
これらの課題は、プロパガンダを形成している、営利団体たる市場関係者のモラルを問うべきところではないであろう。多少の行き過ぎはあるものの、プロモーション戦略としては許容される範囲と考えられるためである。CSRなども言及されつつあるが、企業はあくまで営利団体であって慈善団体ではなく、市場関係者によるこのような事業戦略上のプロパガンダに対する耐性は、ユーザー側で備えておくべき能力といえよう。
あくまでここで述べたいのは、ユーザーにおける“セキュリティリスクの経営に対する影響を適切に判断し、その課題のポジショニングを明確にして、明確な優先順位の元に実装する”という『セキュリティリスクマネジメント』の思考プロセスが欠落していることがセキュリティ対策の課題である、という現実である。

次章では、『セキュリティリスクマネジメント』の考え方について解説する。